emlog后台拿shell

Mr.Wu 4,007 5 正在检测是否收录...

遇到某个站需要打包源码下来审计,然而过程却是非常的坑爹

目标站7.xx.com

然后服务器上一堆演示站,目测是个卖源码的:

1.xx.com
2.xx.com
3.xx.com
4.xx.com
5.xx.com
6.xx.com
7.xx.com
8.xx.com
9.xx.com
10.xx.com
11.xx.com
12.xx.com
13.xx.com
...

前面12个站均是弱口令进后台,都存在被后台拿shell的可能,然而事与愿违,宝塔的服务器,外加一个我不知道的防火墙,

对上传后缀进行了检测,这里可以使用 .ph换行符p 绕过,不过目标站并没有任意上传,遇到几个都是后台可以修改上传扩展名,于是乎,我添加上传后缀 .php 在上传PHP 后门,这里如果没有防火墙是直接成功的,然而为了突破防火墙,加个 .ph换行符p 的话,又无法突破程序自带的后缀检测机制。

第二个问题是对上传的内容进行了检测,拦截尖括号 < 检测到要么给你替换要么就直接拒绝连接,很恶心人。。。。连 phpinfo() 都直接拦截

一个站一个站的测试下去,终于找到一个 emlog 站,用户名通过前台文章页获取到,然而密码并不是弱口令了,通过社工得到后台密码进入。

然后拿shell就简单多了,后台-插件-安装插件-上传插件,然后直接访问插件地址中的后门 /content/plugins/live2d_L/test.php

emlog后台拿shell

插件可以直接去 emlog 官网的插件页找一个体积小一点的插件下载到本地,然后在压缩包中加入自己的后门就行,

这里成功绕过后缀名的问题,不过还遇到了文件内容检测,直接被拉IP,耽误了一些时间等IP恢复,后门去找一个免杀一句话即可解决。

emlog后台拿shell

打赏
发表评论 取消回复
表情 图片 链接 代码

  1. 108321
    108321 Lv 1

    T00ls-user-nopay

  2. 教大家
    教大家 Lv 1

    老大威威

  3. bluecms
    bluecms Lv 1

    T00ls-user-nopay

  4. c199921
    c199921 Lv 1

    T00ls-user-nopay

  5. ver2020
    ver2020 Lv 1

    T00ls-user-nopay

分享
微信
微博
QQ